什么是TPM，为什么Windows需要一个磁盘加密？

发表于 2018-09-30 更新于 2024-04-11 分类于技术相关

TPM

Trusted Platform Module
受BitLocker磁盘加密通常需要Windows上的TPM。微软的EFS加密不能使用TPM。新的Windows 10和8.1“设备加密”功能还需要一个现代化的TPM，这就是为什么它只是在新的硬件功能。但是什么是TPM？
TPM代表“可信平台模块”。它是您的计算机主板上的一个芯片，有助于启用防篡改全磁盘加密，而不需要极长的密码。

究竟是什么？

TPM是一个芯片，它是计算机主板的一部分 - 如果你买了一个现成的电脑，它被焊接到主板上。如果你建立你自己的电脑，你可以买一个作为一个附加模块，如果你的主板支持它。 TPM生成加密密钥，将密钥的一部分保留给自己。因此，如果您在具有TPM的计算机上使用BitLocker加密或设备加密，则密钥的一部分存储在TPM本身中，而不是仅存储在磁盘上。这意味着攻击者不能只是从计算机中删除驱动器，并尝试访问其他文件的文件。
该芯片提供基于硬件的身份验证和篡改检测，因此攻击者不能尝试删除芯片并将其放在另一个主板上，或篡改主板本身以试图绕过加密 - 至少在理论上。

加密，加密，加密

对大多数人来说，这里最相关的用例是加密。现代版本的Windows透明地使用TPM。 只需在装有“设备加密”的现代PC上使用Microsoft帐户登录，即可使用加密。启用BitLocker磁盘加密，Windows将使用TPM存储加密密钥。
通常只需通过键入Windows登录密码即可访问加密的驱动器，但使用更长的加密密钥进行保护。该加密密钥部分存储在TPM中，因此实际上需要您的Windows登录密码和驱动器所在的计算机才能访问。这就是为什么BitLocker的“恢复密钥”相当长一点 - 如果您将驱动器移动到另一台计算机，您需要更长的恢复密钥来访问您的数据。
这是为什么较旧的Windows EFS加密技术不是很好的一个原因。它没有办法在TPM中存储加密密钥。这意味着它必须将其加密密钥存储在硬盘驱动器上，并使其安全性更低。 BitLocker可以在没有TPM的驱动器上运行，但是Microsoft放弃了隐藏此选项以强调TPM对于安全性的重要性。